SPARTOO : sanction de 250 000 euros et injonction sous astreinte de se conformer au RGPD

par ALEXANDRE HARFI | mercredi, août 5, 2020 | CNIL

La CNIL, en tant que « chef de file », a adopté sa première décision de sanction en coopération avec d’autres autorités de contrôle européennes, en réponse à plusieurs manquements au RGPD par la société SPARTOO.

La société SPARTOO est spécialisée dans le secteur de la vente en ligne de chaussures. Pour cette activité, elle dispose d’un site web accessible dans treize pays de l’Union européenne.

La CNIL a contrôlé la société en mai 2018, et a constaté des manquements concernant les données des clients, des prospects et des salariés. La Présidente de la CNIL a donc décidé d’engager une procédure de sanction à l’encontre de la société en 2019.

Les clients et prospects de la société concernés étant situés dans plusieurs pays européens, la CNIL a coopéré tout au long de la procédure avec les autres autorités européennes concernées en vue de l’adoption de la décision de sanction.

Sur la base des investigations menées, la formation restreinte – organe de la CNIL chargé de prononcer les sanctions – a considéré que la société avait manqué à plusieurs obligations prévues par le RGPD :

Un manquement au principe de minimisation des données (article 5-1 c) du RGPD)

L’enregistrement intégral et permanent des appels téléphoniques reçus par les salariés du service client est excessif. Le fait d’enregistrer tous les appels n’est pas justifié car la personne chargée de la formation des salariés n’écoute qu’un enregistrement par semaine et par salarié.

L’enregistrement et la conservation des coordonnées bancaires des clients, communiquées lorsque les commandes sont passées par téléphone, n’est pas non plus nécessaire pour la finalité poursuivie, à savoir la formation des salariés.

Dans le cadre de la lutte contre la fraude, la collecte, en Italie, de la copie de la « carte de santé » des clients est excessive. La communication de ce document, qui contient davantage d’informations que la carte d’identité, et alors même qu’une copie de la carte d’identité est également demandée, est excessive et non pertinente.

Un manquement à l’obligation de limitation de la durée de conservation des données (article 5-1 e) du RGPD)

Lors du contrôle de la CNIL, aucune durée de conservation des données des clients et des prospects n’était mise en place par la société, qui n’effaçait pas régulièrement les données personnelles et ne les archivait pas. Si la société a prévu, depuis le contrôle de la CNIL, de conserver ces données pendant cinq ans, la formation restreinte a retenu un manquement au RGPD pour la conservation pendant plusieurs années d’un nombre très important de données d’anciens clients (plus de 3 millions de clients ne s’étant pas connectés à leur compte depuis plus de 5 ans).

Concernant les données des prospects, la société a mis en place une durée de conservation de cinq ans à compter de leur dernière activité (par exemple l’ouverture d’une newsletter). Or, la société n’adresse pas de prospection commerciale à ces personnes si elles ne manifestent pas d’intérêt pour ses produits ou services durant deux ans. La formation restreinte a donc considéré que la conservation des données des prospects n’était pas nécessaire au-delà de ce délai de deux ans.

La formation restreinte précise que la seule ouverture d’un courriel de prospection par une personne ne permet pas de démontrer qu’elle est intéressée par les produits ou services de la société – ce qui permet de justifier la conservation de leurs données – dans la mesure où ce message peut être ouvert involontairement par celle-ci.

Après le délai de conservation des données des clients de cinq ans, la conservation de leur adresse électronique et de leur mot de passe, sous une forme pseudonymisée et non anonymisée, afin que ceux-ci puissent se reconnecter à leur compte, n’est pas conforme au RGPD.

Un manquement à l’obligation d’information des personnes (article 13 du RGPD)

L’information fournie dans la politique de confidentialité des données du site web n’est pas conforme. En effet, la société ne peut pas indiquer que le consentement est la base légale de tous les traitements mis en œuvre alors que plusieurs d’entre eux reposent sur d’autres bases légales, comme le contrat ou les intérêts légitimes poursuivis par la société.

Concernant les salariés, l’information portant sur l’enregistrement des appels téléphoniques passés avec les clients est insuffisante. Les salariés ne sont pas informés de la finalité poursuivie par le traitement, de la base légale du dispositif, des destinataires des données, de la durée de conservation des données et de leurs droits.

Un manquement à l’obligation d’assurer la sécurité des données (article 32 du RGPD)

S’agissant des mots de passe d’accès aux comptes clients via le site web, la société aurait dû imposer aux utilisateurs l’utilisation de mots de passe plus robustes.

Dans le cadre de la lutte contre la fraude, la conservation pendant six mois et en clair des numérisations de la carte bancaire utilisée lors d’une commande ne permet pas de garantir la sécurité des données bancaires des clients.

Compte tenu du nombre de manquements, la formation restreinte a prononcé une amende de 250 000 euros et décidé de rendre publique sa sanction. Elle a notamment pris en considération la gravité des manquements, en lien avec l’enregistrement des conversations téléphoniques et la conservation des données bancaires. Elle a également tenu compte du nombre de personnes concernées, les données de plusieurs milliers de personnes étant conservées au-delà des durées nécessaires (plus de 3 millions d’anciens clients et plus de 25 millions de prospects). La formation restreinte a également rappelé que plusieurs des manquements portent, pour l’essentiel, sur des obligations qui existaient déjà avant l’entrée en application du RGPD.

La formation restreinte a également enjoint à la société de mettre ses traitements en conformité avec le RGPD et d’en justifier sous un délai de trois mois à compter de la notification de la délibération, sous astreinte de 250 euros par jour de retard.

Délibération

> Délibération de la formation restreinte n°SAN-2020-003 du 28 juillet 2020 concernant la société SPARTOO SAS

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/spartoo-sanction-de-250-000-euros-et-injonction-sous-astreinte-de-se-conformer-au-rgpd

Invalidation du Privacy shield

par ALEXANDRE HARFI | vendredi, juillet 31, 2020 | CNIL

Invalidation du « Privacy shield » : les premières questions-réponses du CEPD

Suite à l’arrêt de la Cour de justice de l’Union européenne invalidant le Privacy Shield (affaire « Schrems II »), le CEPD offre de premiers éléments de réponse aux questions les plus fréquemment posées, dans un document qui sera complété au fur et à mesure des futures analyses complémentaires.

Document reference

FAQ – Invalidation du Privacy Shield – CEPD (en anglais)

Texte reference

Invalidation du « Privacy shield » : la CNIL et ses homologues analysent actuellement ses conséquences

Transférer des données hors de l’UE

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/invalidation-du-privacy-shield-les-premieres-questions-reponses-du-cepd

Entrée en vigueur de la nouvelle loi « Informatique et Libertés » et de son nouveau décret d’application

par ALEXANDRE HARFI | lundi, juin 3, 2019 | CNIL

Le décret n° 2019-536, publié le 30 mai 2019, constitue la dernière étape de la mise en conformité du droit national avec le Règlement général sur la protection des données (RGPD) et la Directive « police-justice », applicable aux fichiers de la sphère pénale. Le cadre juridique national relatif à la protection des données est dorénavant stabilisé. La CNIL a rendu un avis sur ce texte le 9 mai 2019.

L’adaptation du droit français au nouveau cadre européen s’est faite en plusieurs étapes :

modifications de la loi « Informatique et Libertés », par la loi du 20 juin 2018, puis de son décret d’application, par décret du 1^er août 2018 ;
réécriture et mise en cohérence de cette loi, par ordonnance du 12 décembre 2018 ;
élaboration d’un nouveau décret d’application de la loi, daté du 29 mai 2019 et entré en vigueur le 1^er juin.

La CNIL s’est prononcée sur l’ensemble de ces dispositions, dans la perspective constante d’assurer un haut niveau de protection des données en France dans le respect des normes européennes.

Tout comme l’ordonnance du 12 décembre 2018, le décret du 29 mai 2019 a pour objets principaux d’améliorer la lisibilité du cadre juridique national et de mettre en cohérence les dispositions réglementaires avec le droit européen et les mesures législatives nationales prises pour son application. Dans son avis du 9 mai 2019 sur le projet de décret, la CNIL a estimé que le texte atteignait ces objectifs.

Elle a néanmoins émis plusieurs observations en vue d’améliorer la sécurité juridique assurée par le texte aux personnes concernées comme aux organismes traitant des données, qui doivent disposer de règles claires, lisibles et cohérentes avec le RGPD. Elle a également souhaité préciser l’encadrement de certaines de ses procédures, notamment en matière de contrôle, de mise en demeure ou de sanction.

De nombreuses observations de la CNIL ont été prises en compte par le Gouvernement dans le décret publié.

Ce décret marque enfin l’achèvement du processus d’adaptation du droit national au RGPD : sa publication permet l’entrée en vigueur de l’ensemble du nouveau cadre juridique « Informatique et Libertés ». La loi et son décret d’application, profondément remaniés, permettent dorénavant aux personnes comme aux organismes traitant des données d’appréhender de manière plus claire leurs droits et obligations en matière de protection des données à caractère personnel.

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/entree-en-vigueur-de-la-nouvelle-loi-informatique-et-libertes-et-de-son-nouveau-decret-dapplication

1 an de RGPD : une prise de conscience inédite

par ALEXANDRE HARFI | jeudi, mai 23, 2019 | CNIL

Le RGPD, entré en application il y a un an, a créé une dynamique remarquable pour les particuliers et les professionnels. La CNIL a reçu un nombre record de plaintes et elle développe de nouveaux outils de conformité pour garantir à tous la protection des données personnelles.

Retour sur une année exceptionnelle

L’entrée en application du RGPD a marqué une forte prise de conscience des enjeux de protection des données, en France comme en Europe. Cela s’est traduit pour les particuliers, sur la période de mai 2018 à mai 2019, par :

une augmentation considérable des plaintes adressées à la CNIL : plus de 11 900 plaintes en France (+ 30 %) et 144 376 plaintes au niveau européen ;
une coopération européenne engagée et opérationnelle entre les CNIL européennes sur 1 013 procédures concernant plusieurs milliers de personnes, dont plus de 800 dans lesquelles la CNIL est impliquée.

70 % des Français se disent aujourd’hui plus sensibles aux problématiques de protection des données.

Sondage IFOP réalisé en avril 2019 sur un échantillon de 1 000 personnes, représentatif de la population française de 18 ans et plus, selon la méthode des quotas.

Cette prise de conscience se manifeste également chez les professionnels, qui s’approprient progressivement les nouveaux dispositifs du RGPD :

2 044 notifications de violation de données en France et 89 271 au niveau européen ;
plus de 19 000 délégués à la protection des données (personnes physiques ou morales) ont été désignés par plus de 53 000 organismes ;
un afflux de demandes d’information de la part des professionnels souhaitant s’approprier ce nouveau cadre qui ont identifié la CNIL comme une source d’information de référence.

Témoin de cette mobilisation croissante des professionnels et particuliers sur la protection des données, le site de la CNIL a cumulé plus de 8,1 millions de visites depuis un an.

RGPD, an II : réussir le RGPD, clé de voûte d’un numérique de confiance

L’année 2019 sera décisive pour crédibiliser le nouveau cadre juridique et transformer cet ambitieux pari européen en succès opérationnel. Les attentes de la société civile et des acteurs économiques sont très fortes et ce modèle suscite des intérêts à travers le monde entier.

L’année 2019 marque l’achèvement de la transition vers le RGPD. Il est essentiel que, désormais, les organismes appliquent complètement le nouveau texte. Dans l’instruction des plaintes et dans ses contrôles, la CNIL vérifiera donc pleinement le respect des nouvelles exigences. Elle en tirera au besoin toutes les conséquences, y compris en termes de sanction. Mais comme par le passé, elle fera preuve de discernement dans son action répressive, en tenant compte, notamment, de la bonne foi des organismes.

Pour soutenir les opérateurs dans leur dynamique de conformité et réussir la mise en œuvre du RGPD, la CNIL va amplifier ses actions d’accompagnement à destination des professionnels :

la sensibilisation à destination des collectivités territoriales, via un plan d’accompagnement qui se matérialise par la diffusion d’un guide pratique de sensibilisation à destination des plus petites collectivités, de fiches thématiques (téléservices, sécurité, DPO et collectivités, etc.) et d’un module dédié dans sa formation en ligne ouverte à tous ;

l’accompagnement des start-ups grâce à des contenus dédiés sur le site de la CNIL : des contenus pour faire du RGPD un atout ainsi qu’un kit développeur ont déjà été publiés ;
l’élaboration de nouveaux cadres de référence sous la forme de référentiels (gestion des ressources humaines, gestion de la relation client, gestion des impayés, alertes professionnelles), règlements type ou listes de traitements non soumis à une analyse d’impact obligatoire ;
un dialogue étroit avec les professionnels, avec la sensibilisation de « têtes de réseaux » pour favoriser la montée en compétences de tous les secteurs et l’appui maintenu aux délégués à la protection des données.

Les outils pratiques au service des particuliers et professionnels

La CNIL a élaboré ces derniers mois de nombreux outils pratiques d’aide à la conformité qui restent à disposition de tous sur son site, et qu’elle continuera à enrichir et compléter :

pour les personnes souhaitant exercer leurs droits ou poser une question à un organisme qui gère leurs données : la CNIL leur permet de vérifier si cet organisme a désigné un délégué à la protection des données (DPO) et met à leur disposition ses coordonnées publiques via un moteur de recherche dédié ;
une formation en ligne ouverte à tous (MOOC) sur le RGPD depuis mars 2019, déjà suivie par plus de 35 100 personnes dont 6 900 ayant obtenu une attestation de réussite ;
un modèle de registre des activités de traitement, qui permet de recenser l’ensemble des traitements de données et de disposer d’une vue d’ensemble des actions autours des données personnelles ;
un logiciel libre pour mener une analyse d’impact sur la protection des données (AIPD), obligatoire pour certains traitements.

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/1-de-rgpd-une-prise-de-conscience-inedit

La CNIL lance sa formation en ligne sur le RGPD ouverte à tous

par ALEXANDRE HARFI | lundi, mars 11, 2019 | CNIL

Une nouvelle formation en ligne ouverte à tous (MOOC) intitulée « L’atelier RGPD » propose aux professionnels de découvrir ou mieux appréhender le RGPD. Il permet ainsi d’initier une mise en conformité de leur organisme et d’aider à la sensibilisation des opérationnels.

Cet outil de formation gratuit est accessible à tous. Une fois son compte créé, l’utilisateur progresse à son rythme. Une attestation de suivi sera délivrée dans le Mooc à tout participant ayant parcouru la totalité des contenus et ayant répondu correctement à 80 % des questions par module.

A qui s’adresse le MOOC « L’Atelier RGPD » ?

Ce Mooc s’adresse principalement aux Délégués à la Protection des données (DPO) et futurs délégués et aux professionnels voulant appréhender le sujet RGPD. Il convient aussi bien aux profils techniques que juridiques et peut être suivi par toute personne curieuse de cette matière !

Que contient le MOOC « L’Atelier RGPD » ?

Ce Mooc a été élaboré par les juristes et experts de la CNIL. Il est composé de vidéos, de textes, d’illustrations et de cas concrets et propose des quizz et des évaluations.

Le Mooc est structuré en 4 modules avec une durée moyenne de 5h :

Module 1 : le RGPD et ses notions clés

Unité 1 : L’évolution de la protection des données personnelles
Unité 2 : Traitement des données à caractère personnel
Unité 3 : À qui s’applique le RGPD ?

Module 2 : les principes de la protection des données

Unité 1 : Les 8 règles d’or
Unité 2 : Finalité du traitement
Unité 3 : Licéité du traitement
Unité 4 : Minimisation des données
Unité 5 : Protection particulière de certaines données
Unité 6 : Conservation limitée des données
Unité 7 : Obligation de sécurité
Unité 8 : Transparence à l’égard des personnes concernées
Unité 9 : Droits des personnes sur leurs données
Unité 10 : Encadrement des transferts de données hors de l’UE

Module 3 : les responsabilités des acteurs

Unité 1 : Nouvelle logique de responsabilisation : l’accountability
Unité 2 : Partage des responsabilités
Unité 3 : Responsabilité spécifique des sous-traitants

Module 4 : le DPO et les outils de la conformité

Unité 1 : Le délégué à la protection des données
Unité 2 : Le registre
Unité 3 : L’analyse d’impact sur la vie privée
Unité 4 : La notification des violations de données
Unité 5 : Certification et codes de conduite

En cas de problème technique, un forum est à disposition ainsi qu’une FAQ.

Inscrivez-vous dès maintenant sur https://atelier-rgpd.cnil.fr

#AtelierRGPD

ARTICLE PROVENANT DU SITE WEB DE LA CNIL: https://www.cnil.fr/fr/la-cnil-lance-sa-formation-en-ligne-sur-le-rgpd-ouverte-tous

Sécurité des sites web : les 5 problèmes les plus souvent constatés

par ALEXANDRE HARFI | jeudi, juin 28, 2018 | CNIL

La CNIL constate lors de contrôles que beaucoup de manquements à la loi Informatique et Libertés concernent des négligences en matière de sécurité qui pourraient être aisément évitées. Ces failles qui ont une incidence directe sur la vie privée des personnes concernées sont souvent à l’origine de mises en demeure ou de sanctions.

Pourquoi c’est important ?

La numérisation pousse naturellement les organismes à proposer des solutions en ligne pour faciliter les démarches du quotidien ou la collecte d’informations. Des mauvaises procédures de sécurité peuvent amener au vol ou à la perte de données personnelles et de documents confidentiels, par exemple :

Des données facilitant les actes de piratage : les identifiant et mots de passe, etc.
Des documents sensibles : fiche de paie, avis d’impositions, passeports, etc.
Des données sensibles : rendez-vous médicaux, remboursement d’actes de soin, etc.
Des données facilitant les usurpations d’identité : coordonnées, numéro de téléphone, etc.

Une authentification par un mot de passe trop souple

1_mdp

Le problème. La tolérance par une plateforme de mots de passe trop simples et l’absence de protections complémentaires facilitent l’accès d’un tiers indésirable au compte d’un utilisateur. Un individu malveillant n’aura qu’à multiplier les tentatives d’authentification pour accéder aux données d’un utilisateur ou à utiliser une liste de mots de passe les plus couramment utilisés pour réussir à accéder aux comptes les moins protégés.

La solution. Respecter la recommandation de la CNIL dans le cas d’une authentification des utilisateurs basée sur des mots de passe, notamment en stockant les mots de passe de façon sécurisée et en appliquant les règles de complexité pour le mot de passe.

L’absence de règles d’authentification à un compte

Le problème. Le site qui collecte des informations n’intègre pas de fonctionnalités permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher son compte. Ainsi, il suffit d’être en possession de l’URL pour se connecter.

La solution. prévoir au minimum un mécanisme d’authentification avec un mot de passe complexe. Quand cela est possible, proposer un mécanisme « d’authentification fort » c’est-à-dire qui combine au moins deux de ces mécanismes :

« ce que l’on sait », par exemple un mot de passe ;
« ce que l’on a », par exemple une carte à puce ;
« une caractéristique » qui est propre à l’utilisateur, par exemple une empreinte digitale, ou la manière de tracer une signature manuscrite.

Rendre un compte client accessible depuis une URL incrémentale

Le problème. Non seulement, aucune règle d’authentification existe mais le changement d’un seul caractère de URL d’un compte client, amène sur le compte d’un autre client et donne accès à toutes ses informations.

La solution. Mettre en place un contrôle de droit d’accès dans les infrastructures : l’API chargée de répondre à votre requête devra préalablement vérifier si votre requête est légitime pour elle.

L’absence de chiffrement des données

Le problème. En cas de perte ou de faille, l’absence de chiffrement de bout en bout des documents rend possible leur consultation en clair par un tiers indésirable.

La solution. Le chiffrement des pièces permet de garantir sa confidentialité en cas de perte mais à condition d’utiliser des méthodes de chiffrement efficaces du moment où le document est collecté au moment où il est utilisé. Consultez notre guide pour en savoir plus.

L’indexation des données dans un moteur de recherche

Le problème. En plus de ne pas être protégés, les fichiers sont parfois indexés dans les moteurs de recherche. En tapant « site :nomdusite.com » + « filetype :pdf » sur un moteur de recherche n’importe qui peut être en mesure de mettre la main sur une document confidentiel ou sur des données personnelles détenues par l’organisme.

Les solutions. Empêchez les robots d’indexation (les « web crawlers ») d’accéder à tout ou partie de votre site web en utilisant un robot.txt. Les moteurs de recherche respectent cette convention et n’indexeront pas votre contenu. Mais attention, le robot.tx n’est pas une mesure de sécurité ! Vos documents seront accessibles à toute personne ayant ou trouvant l’URL. Afin de les sécuriser, un dispositif d’authentification et de gestion de droits est nécessaire

La sensibilisation des collaborateurs
La sensibilisation des employés à la sécurité informatique de leur poste peut leur éviter d’être vulnérables face à une attaque, un problème de sécurité ou une perte/vol de leur matériel. Pensez à rédiger une charte informatique et donner à cette charte une force contraignante. Organisez des ateliers de sensibilisation – par exemple à l’occasion du mois de la cybersécurité – et envoyez régulièrement des messages de sensibilisation.

Comment renforcer la sécurité de votre organisme ?

Consultez dès maintenant notre guide sécurité qui contient toutes les bonnes pratiques pour mieux sécuriser votre système d’information. Ce guide synthétique a été rédigé à l’attention des organismes et des décideurs qui veulent savoir concrètement quelles pratiques ils doivent mettre en œuvre pour protéger leurs sites, leurs serveurs … Une liste de tâche est à votre disposition à la fin de ce document.

ARTICLE PROVENANT DU SITE DE LA CNIL: https://www.cnil.fr/fr/securite-des-sites-web-les-5-problemes-les-plus-souvent-constates

« Entrées précédentes